Re: [Admin-ml] HELP Kerberos mystérieux problème

Christophe AVRILLON c.avrillon at meyer-partenaires.com
Mar 25 Aou 14:31:31 CEST 2009 

Merci, voici ce que j'ai fait ...

Le 21 août 09 à 17:07, Jean-Luc Bailloeul a écrit :

>
> Le 21 août 09 à 15:32, Christophe AVRILLON a écrit :
>
>> Bonjour à tous,
> Bonjour,
>>
>> Sur un serveur MOD avec une réplique sur un autre serveur...
>>
>> Kerberos sur le MOD n'est plus actif alors qu'il devrait l'être...  
>> (le DNS est bon... changeip -checkhostname retourne bien names match)
>> de + Kerberos fonctionne bien sur la réplique avec le bon royaume  
>> (le même qui était actif sur le MOD)!!!
>>
>> Avez-vous eu ce cas de figure ?
> Oh que oui, une paire de fois. souvent après des updates. (j'ai même  
> encore en ce moment des problèmes avec le serveur de mot de passe  
> que nous n'arrivons pas à identifier).
>> Une solution ? des pistes ? SVP
>> Je ne trouve rien de significatif dans les logs...
> As-tu une sauvegarde du système de ton serveur ?
> Qu'affiches l'état OD ? l'état du serveur de Mot de Passe ? de  
> Kerberos ?
> un reboot du système change -t'il quelque chose ?
> Il faut commencer par vérifier les logs du PasswordServer dans / 
> Library/Logs/PasswordServer :
> ApplePasswordServer.Server.log, ApplePasswordServer.Replication.log,  
> ApplePasswordServer.Error.log et remonter dans l'historique, il doit  
> nécessairement être bavard sur quelque chose…
> et également sur la réplique.
Voici ce que j'obtiens dans les Logs du MOD.
ApplePasswordServer.Error.log : Aug 20 2009 22:48:05    Registration  
is finished error: (10, -72000).
ApplePasswordServer.Replication.log >>> rien de particulier
ApplePasswordServer.Server.log >>> rien a signaler

sur la réplique
ApplePasswordServer.Error.log : Aug 22 2009 03:06:37     
CRunAppThread::DoSyncWithServerChangeList():  
sendSyncDataFromChangeList = -1
ApplePasswordServer.Replication.log >>> rien de particulier
ApplePasswordServer.Server.log >>> rien a signaler
>
>
> vérifies l'existence des fichiers :
> /Library/Preferences/edu.mit.kerberos
> keytab… : ls -l /var/db/krb5kdc
Oui mais mon fichier principal.SERVEURMAIL.MEYER-PARTENAIRES.COM.kadm5  
est plus ancien que les autres et j'ai un fichier identique terminé  
par .lock ?
>
> - vérifie que la config est stockée dans le ldap :
> dscl localhost
>
>   > cd /LDAPv3/127.0.0.1/Config
>   > ls
>   > read KerberosClient
>   > read KerberosKDC
je n'ai pas 127.0.0.1 sous LDAPv3 mais le nom dns de ma machine ? EST  
QUE CELA VIENT DE LA ? COMMENT LE CREER
>
> - vérifier que le fichier kadm5.keytab contient les bons principals
> >ktutil: rkt /var/db/krb5kdc/kadm5.keytab
> >ktutil: list
slot KVNO Principal
---- ----  
---------------------------------------------------------------------
    1    3 kadmin/admin at SERVEURMAIL.MEYER-PARTENAIRES.COM
    2    3 kadmin/admin at SERVEURMAIL.MEYER-PARTENAIRES.COM
    3    3 kadmin/admin at SERVEURMAIL.MEYER-PARTENAIRES.COM
    4    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
    5    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
    6    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
    7    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
    8    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
    9    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
   10    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
   11    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM
   12    3 kadmin/changepw at SERVEURMAIL.MEYER-PARTENAIRES.COM

>
> • Vérifier que le fichier /etc/krb5.keytab a bien été créé puis,  
> qu'il contient les principals des services
> $klist -ke
OK pleins de services connus
>
> Peux-tu encore obtenir un ticket auprès de kerby sur le master pour  
> certains comptes ou aucuns ne fonctionnent ?
> kinit admin (ou diradmin)
> klist -5
Kerberos 5 ticket cache: 'API:Initial default ccache'
Default principal: diradmin at SERVEURMAIL.MEYER-PARTENAIRES.COM

Valid Starting     Expires            Service Principal
08/25/09 14:29:07  08/26/09 00:29:07  krbtgt/SERVEURMAIL.MEYER-PARTENAIRES.COM at SERVEURMAIL.MEYER-PARTENAIRES.COM
	renew until 09/01/09 14:29:07

Est-ce bon, sauf que je n'ai pas testé tout les utilisateurs pour  
l'obtention des tickets

Est-ce que je peut utiliser le topic de easymac : http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare 
  ??? est-ce que cela va casser ma réplique ?
>
> Bon courage,
> Jean-Luc
>>
>> bien sur les services comme "Activer la liaison d'annuaire  
>> authentifiée" ne sont plus modifiable !
>>
>>
>> Merci,
>> -- 
>> Christophe AVRILLON_______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
MERCI POUR TA REPONSE
SALUTATION
-- 
Christophe Avrillon

Plus d'informations sur la liste de diffusion Admin-ml